《aix tcpip 命令安全性》由会员分享,可在线阅读,更多相关《aix tcpip 命令安全性(15页珍藏版)》请在金锄头文库上搜索。
1、TCP/IP 命令安全性TCP/IP 中的一些命令提供操作过程中的安全环境。这些命令是 ftp、rexec 和 telnet。ftp 功能提供文件传送过程中的安全性。rexec 命令为在外部主机上运行命令提供安全环境。telnet 功能为登录外部主机提供安全性。ftp、rexec 和 telnet 命令仅在它们操作过程中提供安全性。也就是说,它们并不建立与其它命令一起使用的安全环境。为了保护系统进行其它操作,使用 securetcpip 命令。此命令通过禁用非可信守护程序和应用程序,及提供保护 IP 层网络协议的选项,提供您保护系统安全的能力。ftp、rexec、securetcpip 和 t
2、elnet 命令提供以下形式的系统及数据安全性:ftp ftp 命令提供传送文件的安全环境。当用户对外部主机调用 ftp 命令时,提示用户输入登录标识。显示的缺省登录标识为:用户在本地主机的当前登录标识。提示用户输入远程主机的密码。 自动登录过程搜索本地用户的 $HOME/.netrc 文件以获取用于外部主机的用户标识及密码。对于安全性,$HOME/.netrc 文件的许可权必须设置为 600(只能由所有者读写)。否则,自动登录失败。注:因为 .netrc 文件的使用需要将密码存储在非加密文件中,当系统配置了 securetcpip 命令时,ftp 命令的自动登录功能不可用。通过将 ftp 命
3、令从 /etc/security/config 文件的 tcpip 节中除去可以重新启用此功能。要使用文件传送功能, ftp 命令需要两个 TCP/IP 连接,一个用于 “文件传输协议”(FTP),另一个用于数据传输。协议连接是主要的而且是安全的,因为它建立在可靠的通信端口上。第二连接是实际数据传输所必需的,且本地及远程主机都验证了此连接的另一端由与主要连接相同的主机建立的。如果主要连接和第二连接不是由相同主机建立,ftp 命令首先显示错误消息,指出数据连接未认证,然后退出。第二连接的这种验证防止第三主机拦截要送至另一主机的数据。rexec rexec 命令为在外部主机上执行命令提供安全环境。
4、提示用户输入登录标识及密码。 自动登录功能引起 rexec 命令搜索本地用户的 $HOME/.netrc 文件以获取外部主机上的用户标识及密码。对于安全性,$HOME/.netrc 文件的许可权必须设置为 600(只能由所有者读写)。否则,自动登录失败。注:因为 .netrc 文件的使用需要将密码存储在非加密文件中,当系统在安全状态下操作时,rexec 的自动登录功能不可用。通过将 rexec 项从 /etc/security/config 文件中的 tcpip 节除去可以重新启用此功能。securetcpip securetcpip 命令启用 TCP/IP 安全功能。发出此命令时,从系统中除
5、去对非可信命令的访问。通过运行 securetcpip 命令来除去以下每一个命令: rlogin 和 rlogind rcp、rsh 和 rshd tftp 和 tftpd trpt使用 securetcpip 命令将系统从标准安全性级别转换为更高安全性级别。系统转换后,除非重装了 TCP/IP,否则不必再次发出 securetcpip 命令。telnet 或 tntelnet(TELNET)命令提供登录到外部主机的安全环境。提示用户输入登录标识及密码。将用户终端看作直接与主机连接的终端。即访问终端受控于许可位。其它用户(组及其它)没有对终端的读访问权,但如果所有者给予它们写许可权,它们就可以
6、对终端写消息。telnet 命令也通过 SAK 提供对远程系统上可信 shell 的访问。此按键顺序不同于调用本地可信路径的顺序,并可以在 telnet 命令中定义。限制文件传送程序用户(/etc/ftpusers)/etc/ftpusers 文件中列出的用户受到保护,不允许远程 FTP 访问。例如,假设用户 A 登录到远程系统,而且他知道系统上用户 B 的密码。如果用户 B 列在 /etc/ftpusers 文件中,即使用户 A 知道用户 B 的密码,用户 A 也不能用 FTP 对用户 B 的帐户上传或下载文件。下表提供有关如何使用基于 Web 的系统管理器、SMIT 或命令行列出、添加及除
7、去受限用户的信息。远程 FTP 用户任务任务 SMIT 快速路径 命令或文件 基于 Web 的系统管理器 管理环境列出受限 FTP 用户smit lsftpusers 查看 /etc/ftpusers 文件软件 用户 所有用户。添加受限用户 smit mkftpusers 编辑 /etc/ftpusers 文件 注 1软件 用户 所有用户 选定 将该用户添加到组。选择组,并单击确定。除去受限用户 smit rmftpusers 编辑 /etc/ftpusers 文件 注 1软件 用户 所有用户 选定 删除。怎样禁止 user 用户 telnet 登陆?用命令:# chuser rlogin=f
8、alse username禁止 su 操作:# chuser su=false username怎么限制,只有某些 ip 才可以登陆机器1. 修改 /etc/inetd.conf 文件,主要是用 tcpd(tcpwrapper 中的文件)更换掉原有的守候进程(如:ftpd/telnetd) ,在/usr/local/lib/tcp_wrappers-7.6 目录下有一个修改方法的实例文件inetd.conf(不是用这个文件替换 /etc/inetd.conf!) ,下面的内容是我根据 aix 的inetd.conf 做出的修改示例: ftp stream tcp6 nowait root /u
9、sr/local/bin/tcpd ftpd telnet stream tcp6 nowait root /usr/local/bin/tcpd telnetd -a shell stream tcp6 nowait root /usr/local/bin/tcpd rshd login stream tcp6 nowait root /usr/local/bin/tcpd rlogind 2. 修改 inetd.conf 后,执行 refresh -s inetd,让 inetd 接受新的配置; 3. 创建/etc/hosts.allow、/etc/hosts.deny,来控制允许访问的
10、ip/主机名,这些文件的设置方法见 man 5 hosts_access 的说明,下面给出一个例子(只允许 192.168.0 网段上的主机访问本主机): hosts.deny: ALL: ALL hosts.allow: ALL: 192.168.0. 4. 可以用 tcpdmatch 来检查规则的设置,例如检查是否允许 192.168.0.1通过 telnet 访问本机: tcpdmatch telnetd 192.168.0.1 5. tcp-wrapper 支持访问日志的控制,它使用与 sendmail 相同的日志记录方式,所以要修改/etc/syslog.conf,把 mail.de
11、bug 前的注释去掉,然后 touch /var/spool/mqueue/syslog 创建空日志文件,refresh -s syslogd 刷新 syslogd 进程。 6. 非法的访问记录都将记录在/var/spool/mqueue/syslog 中了。非 root 用户的登录问题如果用户(包括root用户)收到下面的错误信息,可能预示着一个组文件损坏或者丢失:3004-010 failed setting terminal ownership and mode 在 /etc/passwd 文件里发现的那个用户的基本组可能在 /etc/group文件里无法找到:tps:!:215:1:/
12、u/tps:/bin/ksh 在这个例子里,组ID为 1,需要检查 /etc/group 文件并确保组号1存在。如果只有root用户能够登陆,普通用户收到下面的错误信息: 3004-009 failed running login shell 或者是 system unavailable 执行命令 su - user_name 返回如下信息: 3004-505 Cannot set process environment 登录以后,用户得到下面的信息: 0653-345 permission denied (当登录后试图作任何事情时)或者ksh: pwd: Cannot access pare
13、nt directories (当登录后执行 pwd命令时) 这些故障现象都是由于用户不能够执行登录shell(ksh,csh或者bsh,依靠哪一个被使用来定)或者是主目录路径的权限问题引起的。检查问题文件和目录的步骤下面的步骤介绍了如何检查可能有权限、属主或者属组问题的文件和目录。如果任何文件或者目录有问题,均可以使用 chmod、 chown或者 chgrp 命令来改变权限、属主或属组。如果一个符号连接丢失,可以使用ln 命令来重新建立它,例如,想要建立 /bin到 /usr/bin的连接,运行下面的命令:#ln -s /usr/bin /bin 具体的步骤如下:1. 以 root身份登录
14、进入系统; 2. 如果以非root用户登录系统时看到信息“ system unavailable” ,继续这一步,否则跳到下一步;检查/etc/nologin文件 是否存在 :#ls -l /etc/nologin 如果 /etc/nologin文件存在,把它删除掉: #rm /etc/nologin 输入下面的命令并执行:#cd / #ls -al 类似输出如下: drwxr-xr-x 19 bin bin 1024 Dec 12 21:14 . drwxr-xr-x 19 bin bin 1024 Dec 12 21:14 . lrwxrwxrwx 1 bin bin 8 Nov 22 0
15、9:37 bin - /usr/bin drwxrwxr-x 4 root system 2048 Dec 12 21:12 dev drwxr-xr-x 12 root system 2048 Dec 12 21:11 etc drwxr-xr-x 5 bin bin 512 Nov 22 14:51 home lrwxrwxrwx 1 bin bin 8 Nov 22 09:37 lib - /usr/lib drwxr-xr-x 20 bin bin 512 Nov 22 13:33 lpp drwxr-xr-x 3 bin bin 512 Nov 22 09:37 sbin lrwxr
16、wxrwx 1 bin bin 5 Nov 22 09:37 u - /home drwxr-xr-x 20 bin bin 512 Nov 22 14:24 usr drwxr-xr-x 12 bin bin 512 Nov 22 12:59 var 3. 输入下面的命令并执行: #ls -ld /usr/bin /usr/lib /tmp 类似的输出如下 :drwxr-xr-x 3 bin bin 10752 Nov 22 12:53 /usr/bin drwxr-xr-x 28 bin bin 4096 Dec 15 17:08 /usr/lib/ drwxrwxrwt 8 bin bin 2560 Jan 22 14:46 /tmp/ 4. 输入下面的命令并执行: #ls -l /usr/bin/csh /usr/bin/ksh /usr/bin/bsh 类似的输出如下: -r-xr-xr-x 2 bin bin 341020 Nov 2
